تیم تحقیقاتی Socket یک پکیج npm مخرب به نام ethereumvulncontracthandler را کشف کرده است که خود را به عنوان ابزاری برای شناسایی آسیب پذیریها در قراردادهای هوشمند اتریوم معرفی میکند، اما در واقع حاوی تروجان دسترسی از راه دور Quasar (RAT) است.
پکیج ethereumvulncontracthandler به شدت مبهم بوده و در هجدهم دسامبر ۲۰۲۴ توسط کاربری به نام ‘solidit-dev-416’ در رجیستری npm منتشر شده است. این پکیج همچنان برای دانلود در دسترس میباشد و تا به امروز ۶۶ مرتبه بارگیری شده است.
این پکیج پس از نصب بر روی سیستم توسعه دهنده، یک اسکریپت مخرب را از یک سرور راه دور بازیابی و آن را بهطور پنهان اجرا میکند تا Quasar RATرا در سیستم ویندوز قربانی مستقر نماید. اسکریپت با تغییر تنظیمات رجیستری ویندوز، تداوم دسترسی بدافزار را بر روی سیستم تضمین میکند و با یک سرور فرماندهی و کنترل (C2) برای دریافت دستورالعملهای بیشتر ارتباط برقرار مینماید.
پکیج ethereumvulncontracthandler از تکنیکهای مبهم سازی پیچیده، از جمله رمزگذاری Base64 و XOR برای فرار از شناسایی و تجزیه و تحلیل توسط مکانیزمهای امنیتی استفاده میکند و بررسیهایی را برای جلوگیری از اجرا در محیطهای Sandbox به انجام میرساند.
Quasar RAT به دلیل قابلیتهای گسترده آن، از جمله ثبت کلیدهای فشرده شده کیبورد، استخراج دادههای لاگین و فایلهای خاص شناخته شده است و از زمان انتشار آن در سال ۲۰۱۴ تاکنون در کمپینهای مختلف جرایم سایبری و جاسوسی استفاده میشود.
وجود این بدافزار خطرات قابلتوجهی را برای توسعهدهندگان، بهویژه آنهایی که پروژههای حساس اتریوم را مدیریت میکنند، به همراه دارد، زیرا میتواند کلیدهای خصوصی و اطلاعات حیاتی مرتبط با داراییهای مالی را برباید.
دوم زانویه ۲۰۲۵ نیز socket اعلام کرد که ۲۰ پکیج مخرب را شناسایی کرده است که برای محیط توسعه قانونی Hardhat مورد استفاده توسط توسعه دهندگان اتریوم طراحی شدهاند. این پکیجها در مجموع بیش از ۱۰۰۰ بار دانلود شدهاند.
پس از نصب پکیجها، کد موجود در آنها تلاش میکند تا با استفاده از توابعی مانند hreInit() و hreConfig()، کلیدهای خصوصی Hardhat، فایلهای پیکربندی و mnemonicها را جمعآوری کند، سپس آنها را توسط یک کلید AES هارکد شده رمزگذاری کرده و به یک دامنه تحت کنترل مهاجم ارسال کند.
این رویدادهای امنیتی، آسیب پذیریهای موجود در زنجیره تامین نرم افزار و اهمیت بررسی دقیق کدهای شخص ثالث را یادآوری میکنند. توسعهدهندگان نرمافزار میبایست به هنگام دانلود پکیجهای npm هوشمندانهتر عمل کنند، صحت پکیجها را تأیید نمایند، مراقب typosquatting ها باشند و کد منبع را پیش از نصب بررسی کنند.